consul线上安装和权限配置

consul线上安装和权限配置

安装

模式 ip
server 192.168.1.156/192.168.1.157/192.168.1.158
client 192.168.1.159

安装路径:
/home/cube/consul

配置文件(/home/cube/consul/config/config.json)

# 192.168.1.156
{
    "bootstrap_expect": 3,
    "encrypt": "qV5WVLHhFnwEle8l/Edi/Q==",
    "data_dir": "/home/cube/consul/data",
    "log_level": "INFO",
    "node_name": "prod-192_168_156",
    "bind_addr": "192.168.1.156",
    "client_addr": "0.0.0.0",
    "ui": true,
    "server": true,
    "enable_script_checks": true,
    "addresses": {
        "https": "0.0.0.0",
        "dns": "0.0.0.0"
    }
}

# 192.168.1.157
{
    "bootstrap_expect": 3,
    "encrypt": "qV5WVLHhFnwEle8l/Edi/Q==",
    "data_dir": "/home/cube/consul/data",
    "log_level": "INFO",
    "node_name": "prod-192_168_1_157",
    "bind_addr": "192.168.1.157",
    "client_addr": "0.0.0.0",
    "ui": true,
    "server": true,
    "enable_script_checks": true,
    "addresses": {
        "https": "0.0.0.0",
        "dns": "0.0.0.0"
    }
}

# 192.168.1.158
{
    "bootstrap_expect": 3,
    "encrypt": "qV5WVLHhFnwEle8l/Edi/Q==",
    "data_dir": "/home/cube/consul/data",
    "log_level": "INFO",
    "node_name": "prod-192_168_1_158",
    "bind_addr": "192.168.1.158",
    "client_addr": "0.0.0.0",
    "ui": true,
    "server": true,
    "enable_script_checks": true,
    "addresses": {
        "https": "0.0.0.0",
        "dns": "0.0.0.0"
    }
}

# 192.168.1.159
{
    "encrypt": "qV5WVLHhFnwEle8l/Edi/Q==",
    "data_dir": "/home/cube/consul/data",
    "log_level": "INFO",
    "node_name": "prod-192_168_1_159",
    "bind_addr": "192.168.1.159",
    "client_addr": "0.0.0.0",
    "ui": true,
    "server": false,
    "enable_script_checks": true,
    "addresses": {
        "https": "0.0.0.0",
        "dns": "0.0.0.0"
    }
}

启动脚本:

nohup ./consul agent -config-dir=/home/cube/consul/config &

注:server关闭一个节点,然后马上加入一个节点,至少保证有两个节点以上才行,当server低于两个的时候,整个注册服务会丢失数据,并且服务处于不可用状态。
关闭脚本最好不要kill进程,执行consul leave 优雅关服务。

权限配置

consul权限配置有个专门的acl模块,有一套比较强大的权限控制规则。

步骤:

1 .在 /home/cube/consul/config/新建 acl_config.json文件,server三个服务器都需要新建,文件内容为:

{
    "acl_datacenter": "dc1",

    "acl_master_token": "cube0909",

    "acl_default_policy": "deny"
}

然后重新加载配置 ./consul reload

2 .生成token,这里生成的token需要依赖上面的acl_master_token子密钥。随机选一台服务器执行:

curl -H "X-Consul-Token: secret" -X PUT -d '{"Name": "dc1", "Type": "management"}' http://127.0.0.1:8500/v1/acl/create?token=cube0909

结果返回一个token

3 .配置生成的token ,后面的验证都是基于这个token来验证的,只是第一次生成token稍微麻烦点,以后的token管理可以在consul manager上管理。
在所有的server端的acl_config.json加上刚刚生成的token,新的acl_config.json为:

{
    "acl_datacenter": "dc1",

    "acl_master_token": "cube0909",

    "acl_default_policy": "deny",

    "acl_token": "ca6a320c-f654-5d82-bba7-3df712aee755"
}

4 . 上面只是生成server端的token, 现在需要配置client端的token, 将上面的http请求的type类型改为client,然后重新生成token。

curl -H "X-Consul-Token: secret" -X PUT -d '{"Name": "dc1", "Type": "client"}' http://127.0.0.1:8500/v1/acl/create?token=cube0909

将生成的token,配置在我们的client端的acl_config.json:

{
    "acl_datacenter": "dc1",

    "acl_token": "a206bb3f-ee8f-4e03-32a4-fd357904ff14"
}

5 . 可以关闭server端的8500端口,开发client端的8500端口。

6 . 访问 consul界面浏览器输入 http://114.112.101.159:8500/ui 会提示 Access Denied ,也就是没有权限访问,在设置界面输入上面的server端token,就能访问。

7 . 程序同样需要配置token才能进行服务的注册与发现。

扩展

当需要对某个服务进行详细的权限控制的时候,我们可以在界面的acl模块,详细配置某个数据中心的访问控制,以及路径下数据的详细控制。目前我们的业务还没有这样的复杂需求,暂时没有详细配置访问控制。

详细配置规则,参考:https://www.consul.io/docs/guides/acl.html#rule-specification

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,444评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,421评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,363评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,460评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,502评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,511评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,280评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,736评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,014评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,190评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,848评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,531评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,159评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,411评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,067评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,078评论 2 352

推荐阅读更多精彩内容

  • [TOCM] Consul版本 v0.9.2 1. 配置 1.1 CLI配置 Consul Agent有各种各样的...
    Liberalman阅读 8,009评论 18 3
  • 由于文章太长,简书放不下,完整文档见Consul文档。 一、安装 Consul Consul 的安装很简单,安装 ...
    FlySheep_ly阅读 10,106评论 1 13
  • 长路漫漫立志行高远,寒夜漆漆心勇敢独行。 --致青春 关于移动热修复,对于现今的开发人员也已经不再陌生了,甚至修复...
    xiaodouyaer阅读 1,032评论 2 2
  • 2014年元旦与好友夜宿峨眉山清音阁,偶得。 双溪落平湖,平湖映月影。 月影绕双桥,双桥起清音。
    南阳怪客阅读 337评论 0 0
  • 闷热的八月天 除了空调、冰西瓜以及可口的冷饮 还有什么能够将我们从夏日中解救出来 当然是热门片《巨齿鲨》啦! 不相...
    万物有的说阅读 632评论 2 0